Dropbox est-elle vraiment conforme au RGPD ?
Dans la dernière partie de notre série sur les services cloud, les transferts vers des pays tiers et la protection des données, nous nous penchons sur le fournisseur Dropbox. Celui-ci est également une entreprise américaine, raison pour laquelle il convient de conclure des clauses contractuelles standard et de déterminer des mesures complémentaires avant la première utilisation. Il est également vivement conseillé de réaliser une analyse d'impact sur la protection des données et de conclure un accord d'entreprise. Après avoir examiné le cadre juridique dans nos articles précédents, nous mettons aujourd'hui l'accent sur les détails techniques. Nous nous posons la question suivante : Dropbox et protection des données, protection des données et Dropbox, est-ce que cela va ensemble ?
Dropbox Inc.
Dropbox est un service d'hébergement de fichiers qui existe depuis 2007. Dropbox propose le stockage de données en ligne et l'échange de données entre deux ou plusieurs utilisateurs. L'accès à la Dropbox se fait par le biais d'un navigateur ou d'applications sous différents systèmes d'exploitation. Dropbox utilise ses propres centres de calcul pour 90 % de sa capacité de stockage, les 10 % restants étant achetés à AWS.
Dropbox et le RGPD
Selon Dropbox, toutes les données téléchargées sont cryptées avant d'être stockées avec un cryptage AES (longueur de clé de 256 bits), et un cryptage de transport est également effectué. La clé reste toutefois entre les mains de Dropbox, qui a donc théoriquement et pratiquement un accès complet en texte clair aux données des utilisateurs. Chaque utilisateur de Dropbox devrait donc prendre en main la protection des données et crypter lui-même ses données au préalable selon l'état de la technique. Ainsi, un cryptage de bout en bout serait atteint, mais le partage de données avec des partenaires commerciaux ne serait plus possible.
Pour rendre plus difficile le détournement de comptes d'utilisateurs, Dropbox prend en charge une authentification à deux facteurs. Une grave violation de données a eu lieu en 2016, lorsque des inconnus ont publié plus de 68 millions de données d'accès à Dropbox.
Si une entreprise décide d'utiliser la Dropbox, elle doit absolument choisir une variante payante (Dropbox Business). Celle-ci offre un net avantage en matière de protection et de sécurité des données. Sinon, on opte pour un paiement en données. Qui voudrait faire cela avec ses secrets commerciaux ?
Ceux qui envisagent sérieusement d'utiliser Dropbox devraient en outre consulter le livre blanc sur la sécurité de Dropbox Business publié par Dropbox elle-même. Sur 47 pages, ce document explique le contexte technique et fait des déclarations sur la sécurité du produit et de l'infrastructure ainsi que sur la protection des données et la conformité. Les entreprises ne devraient pas hésiter à poser des questions critiques à Dropbox. Ainsi, le livre blanc fait toujours référence à une certification existante selon le Privacy Shield, qui, comme on le sait, a été annulé par la Cour de justice européenne il y a un an et demi.
Conclusion
La Dropbox peut être utilisée en conformité avec le RGPD. Outre les défis juridiques (clauses contractuelles standard, réalisation d'une analyse d'impact relative à la protection des données), une attention particulière devrait être accordée au cryptage. Les entreprises ne devraient pas se fier au cryptage propre à Dropbox et devraient en outre procéder elles-mêmes au cryptage. L'idéal est de séparer le cryptage du stockage. Ce n'est qu'avec un cryptage dit "zero-knowledge" que Dropbox, la protection des données et le RGPD sont en harmonie.
2B Advice vous conseille volontiers et de manière compétente sur la manière de protéger de manière fiable vos données et vos secrets commerciaux contre les accès non autorisés chez Dropbox ou d'autres fournisseurs : +49 (228) 926165-100.